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Ansteuervorrichtiing ftir sicherheltskritische Komponenten und 
entsprechendes Verfahren 

Die vorliegende Erfindung betrifft eine Ansteuervorrichtung 
zum Steuern Oder Regeln einer sicherheitskritischen Komponen- 
te mit einer Schalteinrichtung, die einen ersten Schalter und 
einen zweiten, mit dem ersten in Reihe verbundenen Schalter qq| 
zum Schalten der sicherheitskritischem Komponente aufweist/ ffl 
einer ersten Steuerungseinrichtung zur Aufnahme eines Ein- -4 
gangsslgnals und Ausgabe eines ersten Ansteuersignals und ei- ^ 
ner zweiten Steuerungseinrichtung zur Aufnahme des Eingangs- ^ 
signals und Ausgabe eine zweiten Ansteuersignals. Dartiber 5> 
hinaus betrifft die vorliegende Erfindung ein entsprechendes ^ 
Verfahren zum Steuern oder Regeln einer sicherheitskritischen HT 
Komponente • ^ 

Bei vielen sicherheitstechnischen Anwendungen wird eine sehr ^ 
geringe Reaktionszeit zur Verarbeitung einer NOTAUS- 
Anforderung ben5tigt. Obwohl die heutigen modernen Sicher- 
heitsgerate in der Regel Mikrocontroller benutzen und deshalb 
interne Funktionen sehr schnell abgearbeitet werden kOnnen, 
mtissen wegen Burst- und HF-St6rungen Filteralgorithmen ver- 
wendet werden, um eine maximale VerfUgbarkeit zu erzielen. 
Weitere Randeffekte wie die Kompensation der KabelkapazitSLt 
und dynamische Eingangsprtlfung ftihren letztlich zu relativ 
langen Auswertezyklen. 

Ein weiteres Problem stellt die Tatsache dar, dass in Sicher- 
heitsgeraten ab der Kategorie SIL3 bezogen auf die europai- 
sche Norm lEC 615 08 immer zwei Controller aus Grtinden der 
Hardwareredundanz und Fehlertoleranz eingesetzt werden mtis- 
sen. 

Seitens des Anmelders wurde dieses Problem dadurch gel6st, 
dass bei Sicherheitsgeraten zwei von der Hardware identische 
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Controller mit identischer Firmware eingesetzt werden. Um 
systeiaatische Fehler erkennen zu konnen, wird ein ,,Master- 
Slave-Prifizip"* angewandt. Dies bedeutet, dass jeweils einer 
der Controller fUr kurze Zeit der Master und der andere der 
Slave ist. Die beiden Controller tauschen diesen Status nach 
einer festgelegten Zeit. Einer der Controller wird Ublicher- 
weise zma Ansteuern bestimmter Schalter beispielsweise eines 
Lastkreises einer elektrischen Maschine verwendet^ wogegen 
der andere Controller zum Uberwachen der Schaltzust^nde die- 
ser Schalter eingesetzt wird und seinerseits andere Schalter 
von anderen Komponenten ansteuert. 

Derjenige Controller ^ der sich im Mastermodus befindet/ liest 
Sobpatllche Eingange ein und legt die Ausgangszust^nde der 
Schalter fest, mit denen er verbunden ist beziehiingsweise die 
ihm zugeordnet sind. Wichtige ZustSnde wie Anf orderungen wer- 
den mit dem Slave abgeglichen und interne Tests werden durch- 
geftlhrt. 

Eine NOTAUS-Anforderung wird zunachst von dem Controller im 
Mastermodus registriert. Dabei besteht der Nachteil, dass 
diejenigen Ausg^nge, die von dem Controller im Slavemodus an- 
gesteuert werden, erst dann abgeschaltet werden k5nnen, wenn 
die NOTAUS-Anf orderung von dem Master an den Slave tlbermit- 
telt worden ist. Diejenigen Ausg&nge, die unmittelbar vom 
Master angesteuert werden, kdnnen verhaitnismSliig rasch abge- 
schaltet werden. Somit ist die Reakt ions zeit zum Abschalten 
der angesteuerten Komponenten abh^ngig davon, welcher Cont- 
roller die Anforderung zuerst erhait und ob der gewOnschte 
Ausgang auch von diesem Controller abgeschaltet werden kann. 

Mit dem geschilderten Schaltungsaufbau konnten bislang Anfor- 
derungszeiten nicht unter 45 ms erreicht werden. Durch ent- 
sprechend schnellere Hardware liefie sich die Anf orderungszeit 
noch bis auf 35 ms reduzieren. Dies ist jedoch fUr kritische 
Anf orderungen wie Pressensteuerungen nicht hinreichend. 



wo 2004/107377 



PCT/EP2004/003874 



3 

Die Aufgabe der vorliegenden Erfindiing besteht somit dariii/ 
eine Ansteuervorrichtung iind ein entsprechendes Verfahren zum 
Steuern oder Regeln einer sicherheitskritischen Komponente 
mit durchschnittlich verktlrzter Reaktionszeit vorzuschlagen. 

Erf indungsgemafi wird diese Aufgabe gelost durch eine Ansteu- 
ervorrichtung zum Steuern oder Regeln einer sicherheitskriti- 
schen Komponente mit einer Schalteinrichtung, die einen ers- 
ten Schalter und einen zweiten, mit dem ersten in Reihe ver- 
bundenen Schalter zum Schalten der sicherheitskritischen Kom- 
ponente aufweist, einer ersten Steuerungseinricht\ing zur Auf- 
nahme eines Eingangssignals und Ausgabe eines ersten Ansteu- 
ersignals und einer zweiten Steuerungseinrichtung zur Aufnah- 
me des Eingangssignals und Ausgabe eines zweiten Ansteuersig- 
nals, wobei der erste Schalter der Schaltelnrichtung von der 
ersten Steuerungseinrichtung und der zweite Schalter der 
Schaltelnrichtung von der zweiten Steuereinrichtung ansteuer- 
bar sind. 

Ferner wird erf indungsgemSfl bereitgestellt ein Verfahren z\am 
Steuern oder Regeln einer sicherheitskritischen Komponente 
durch Bereitstellen einer Schaltelnrichtung, die einen ersten 
Schalter und einen zweiten, mit dem ersten in Reihe verbunde- 
nen Schalter zxam Schalten der sicherheitskritischen Komponen- 
te aufweist, Bereitstellen einer ersten Steuerungseinrich- 
tung, die mit dem Schalter verbunden ist, und einer zweiten 
Steuerungseinrichtung, die mit dem zweiten Schalter verbunden 
ist, Aufnehmen eines Eingangssignals und Ausgeben eines ers- 
ten Ansteuersignals von der ersten Steuerungseinrichtung aii 
den ersten Schalter der Schaltelnrichtung auf der Basis des 
Eingangssignals, wobei auf der Basis des Eingangssignals ein 
zweites Ansteuersignal von der zweiten Steuerungseinrichtung 
an den zweiten Schalter der Schaltelnrichtung ausgegeben 
wird. 

Der Erfindung liegt der Gedanke zugrunde, dass der Ausgang 
abgeschaltet werden soil, unabhSngig davon, welcher der 
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Schalter zuerst abgesteuert wird. Dadurch, dass nun beide 
Controller beziehungsweise Steuerungseinrichtungen die Rei- 
henschaltung aus den beiden Schaltern ansteuern und somlt ei- 
ne UND-Verkntlpfung der AusgSnge der Controller gegeben ist^ 
wird der Ausgang an der Schalteinrichtung auf alle Faile mit 
der geringeren Reaktionszeit der beiden Controller abgeschal- 
tet . 

Ein positiver Nebeneffekt dieses zeitversetzten Schaltens 
ist, dass ein gleichzeitiges Verschweifien der beiden Schal- 
ter, z» B. SchUtze/ ausgeschlossen werden kann. Die NOTAUS- 
Funktion ist damit auch nach dem Verschweifien eines der Kon- 
takte der Schalter noch gew^hrleistet • 

Das zeitversetzte Abschalten der Schalter hat weiterhin den 
Vorteil, dass ftir beide Schalter ungef^hr gleiche Lebensdau- 
ern zu erwarten sind. Dies liegt daran, dass im statistischen 
Mittel jeder Schalter ebenso haufig im stromfreien wie im 
bestromten Zustand abgeschaltet wird. 

Vorzugsweise wird der erste und zweite Schalter in der 
Schalteinrichtung jeweils durch ein Relais Oder einen Schtltz 
realisiert. Alternativ kann der erste und zweite Schalter a- 
ber auch als Halbleiterschalter ausgelegt sein oder einen Op- 
tokoppler umfassen. 

Der erste und zweite Schalter kOnnen zeitversetzt zueinander 
angesteuert werden. Ferner kOnnen die erste und zweite Steue- 
rungseinrichtung nach dem Master-Slave-Prinzip arbeiten, wo- 
durch sich ein definierter Zeitversatz ergibt. Speziell ent- 
steht dann der Zeitversatz durch die Zeitdauer, die der Mas- 
ter benOtigt/ um den Slave von einem Ereignis in Kenntnis zu 
setzen. 

Vorteilhaf terweise wird eine elektrische Maschine mit einem 
Lastkreis mit der genannten, erf indungsgemaflen Ansteuervor- 
richtung ausgestattet . Dabei kann die Ansteuervorrichtung 
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insbesondere ftlr die Slcherheitsabschaltiing bezlehungswelse 
NOTAUS-Steuerung verwendet werden. 

Die vorliegende Erfindung wird nun anhand der beigeftlgten 
Zeichnungen naher eriautert, in denen zeigen: 

FIG 1 ein Schaltungsdiagramm einer erf indungsgemSBen An- 
steuervorrichtung; und 

FIG 2 ein Zeitsignaldiagramm der Ansteuervorrichtung von 
FIG 1. 

Die nachfolgend geschilderten Ausf Uhrungsbeispiele stellen 
bevorzugte AusfUhrxingsformen der vorliegenden Erfindiing dar. 
In dem Schaltungsdiagramm gemSB FIG 1 dienen zwei Schtltze SI 
und S2, die in Reihe miteinander verbunden sind, zum Schalten 
eines nicht dargestellten Lastkreises einer elektrischen Ma- 
schine tlber die Klemmen Kl und K2. Zur T^steuerung der beiden 
SchUtze SI und 32 dienen zwei Steuerungseinrichtungen bezie- 
hungsweise Controller CI und C2. Die Ausgangssignale der 
Controller CI und C2 werden von jeweiligen Ausgangseinheiten 
Yl und Y2 in entsprechende Bewegungen der SchUtze SI und S2 
umgesetzt. Von einer Eingabeeinheit X, die beispielsweise als 
NOTAUS-Schalter realisiert sein kann, erhalten die beiden 
Controller CI und C2 ihr Eingangssignal, Dieses Eingangssig- 
nal wird am Eingang X von den Control lern CI und C2 durch je- 
weilige Taktsignale Tl und T2 abgefragt. 

FIG 2 zeigt hierzu ein Signalverlauf sdiagramm beziehtingsweise 
Zustandsdiagramm der einzelnen Komponenten. Zum Zeitpunkt tO 
wird der NOTAUS-Schalter am Eingang X gedrtlckt. Zu diesem 
Zeitpunkt liest der Controller CI den Eingang X. Nach einer 
gewissen Reaktionszeit wird die Ausgangseinheit Yl zum Zeit- 
punkt tl abgeschaltet. Da der Controller C2 zum Zeitpunkt tO 
nicht aktiv war, muss er erst vom Controller CI Uber das Drti- 
cken des NOTAUS-Schalters informiert werden, urn die Ausgangs- 
einheit Y2 abzuschalten. Daher betragt die Reaktionszeit ent- 
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sprechend langer und die Ausgangseinheit Y2 wird erst zum 
Zeltpunkt t2 abgeschaltet • 

Bei einer konkreten Realisierung kann die erf indungsgemSfie 
Aasteuervorrichtung in einem Sicherheitsgerat, beispielsweise 
der Modellreihe 3TK2845 des Anmelders, mit zwei potential- 
freien Relaisausgangen, die in Reihe geschaltet sind, einge- 
setzt werden. Typischerweise betragt die Reaktionszeit des 
Masters auf eine NOTAUS-Anforderung bis zum 8 ms. Die Zeit 
zur Obermit tiling der NOTAUS-Anforderung vom Mater zum Slave 
kann bis zu 15 ms betragen. Die Abfallzeit des Relais betrSgt 
im vorliegenden Beispiel maximal 12 ms. Bei der Standardbe- 
schaltung gem^B dem Stand der Technik, bei der eine Serien- 
schaltung von Relais lediglich mit Hilfe eines Controllers 
angesteuert wird, wUrde die Reaktionszeit bis zum 8 ms + 
15 ms + 12 ms = 35 ms betragen. Bei der erf indungsgemSLfien Be- 
schaltung mit sogenanntem ^^kaskardiertem Ausgang"* wtirde die 
Reaktionszeit hSchstens 8 ms + 12 ms 20 ms betragen, da je- 
der Controller CI, C2 eines der Relais beziehungsweise einen 
der Schtitze SI, S2 schaltet und damit zum Abschalten des 
Lastkreises die Obermittlung der NOTAUS-Anforderung an den 
Slave nicht mehr notwendig ist, Damit werden die Anforderun- 
gen auch an sehr zeitkritische Anwendungen erfUllt. Durch die 
erf indungsgemaiie Ansteuerung der in Form einer logischen UND- 
Verkntlpfung verschalteten Relais beziehungsweise SchUtze SI, 
S2 der Schaltungseinrichtung k5nnen die bislang eingesetzten 
Ger^te weiterhln verwendet werden, ohne dass Anderungen in 
Hard- Oder Firmware ftlr eine Sicherheitsabschaltung notwendig 
sind. 



wo 2004/107377 



PCT/EP2004/003874 



7 

Patentansprtlche 

!• Ansteuervorrichtung zum Steuern oder Regain einer sicher- 
heitskritischen Komponente mit 

- einer Schalteinrichtung, die einen ersten Schalter (SI) 
und einen zweiten^ mit dem ersten in Reihe verbundenen 
Schalter (S2) zum Schalten der sicherheitskritischen 
Komponente aufweist, 

- einer ersten Steuerungseinrichtung (CI) zur Aufnahme 
eines Eingangssignals und Ausgabe eines ersten Ansteu- 
er signals und 

- einer zweiten Steuerxmgseinrichtung (C2) zur Aufnahme 
des Eingangssignals und Ausgabe eines zweiten Ansteuer- 
signalS/ 

dadurch gekennzeichnet, dass 

- der erste Schalter (SI) der Schalteinrichtung von der 
ersten Steuerungseinrichtung (CI) und der zweite Schal- 
ter (32) der Schalteinrichtung von der zweiten Steuer- 
einrichtung (C2) ansteuerbar sind. 

2. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils ein Relais oder ein Schtltz ist, 

3. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils ein Halbleiterschalter ist. 

4. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils einen Optokoppler umfasst. 

5. Ansteuervorrichtung nach einem der vorhergehenden Ansprti- 
che, wobei der erste Schalter (SI) und der zweite Schal- 
ter (S2) mit Zeitversatz zueinander ansteuerbar sind und 
die erste und zweite Steuerungseinrichtung nach dem Mas- 
ter/Slave-Prinzip arbeiten. 
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6. Elektrische Maschine mit einem Lastkrels iind einer An- 
steuervorrichtung nach eineia der vorhergehenden Ansprtl- 
che. 

7 . Elektrische Maschine nach Anspruch 6 mit weiterhin einem 
Not-Aus-Schalter (X) zum Liefern des Eingangssignals. 

8. Verfahren zum Steuern oder Regeln einer sicherheitskriti- 
schen Komponente durch 

- Bereitstellen einer Schalteinrichtiing, die einen ersten 
Schalter (SI) und einen zweiten, mit dem ersten in Rei- 
he verbundenen Schalter (S2) zum Schalten der sicher- 
heitskritischen Komponente aufweist, 

- Bereitstellen einer ersten Steuerungseinrichtung (CI), 
die mit dem Schalter (SI) verbunden ist, und einer 
zweiten Steuerungseinrichtxing (C2) , die mit dem zweiten 
Schalter (S2) verbiinden ist, 

- Aufnehmen eines Eingangssignals, 

- Ausgeben eines ersten Ansteuersignals von der ersten 
Steuerungseinrichtung (CI) an den ersten Schalter (SI) 
der Schalteinrichtung auf der Basis des Eingangssignals 
und 

- Ausgeben eines zweiten Ansteuersignals von der zweiten 
Steuerungseinrichtung (C2) an den zweiten Schalter (S2) 
der Schalteinrichtung auf der Basis des Eingangssig- 
nals. 

9. Verfahren nach Anspruch 8, wobei das erste und zweite An- 
steuersignal zeitversetzt zueinander ausgegeben werden. 

10. Verfahren nach Anspruch 9, wobei das erste und das zweite 
Ansteuersignal in einem Master/Slave-Prozess in AbhSngig- 
keit von dem Eingangssignal erzeugt werden, wodurch sich 
der definierte Zeitversatz ergibt. 
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11. Verfahren nach Anspruch 8, 9 oder 10/ wobei mit der 
Schalteinrichtimg ein Lastkrels einer elektrischen Ma- 
schine geschaltet wird, 

12. Verfahren nach einem der AnsprUche 8 bis 11/ wobei das 
Eingangs signal von einem Not-Aus-Schalter (X) geliefert 
wird. 
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